Pourquoi une telle décision ?

Rappelons qu’une telle décision d’adéquation s’inscrit dans le cadre de l’article 45 du Règlement général sur la protection des données (RGPD). Ce dernier interdit les transferts de données personnelles hors du territoire européen à moins de garantir, par des mesures appropriées, que lesdites données bénéficieront d’un niveau de protection équivalent dans le pays tiers concerné. Les décisions d’adéquation prononcées par la Commission reconnaissent que la législation de certains États présente directement cette garantie. Cela permet aux responsables de traitement de procéder aux transferts comme ils le feraient sur le territoire de l’union, sans recourir à des outils supplémentaires comme les clauses contractuelles types.

L’importance des échanges entre Europe et États-Unis rendait stratégique la présence de mécanismes facilitant les transferts de données. La première décision de la Commission validant en ce sens le cadre législatif américain, dite « Safe Harbour », a toutefois été annulée par la Cour de Justice de l’Union Européenne (CJUE) dans son arrêt Schrems I.

Afin de tenir compte des critiques de la Cour, un nouveau mécanisme dit « Privacy Shield » est mis en place et validé par une décision d’adéquation de la Commission. L’histoire, toutefois, se répète, et la CJUE invalide également cette décision d’adéquation dans un arrêt Schrems II. C’est principalement les larges pouvoirs conférés aux agences de renseignement américaines, qui peuvent accéder sans contrôle aux données des citoyens européens, qui motivait cette décision.

La Commission Européenne et l’administration américaine se sont rapidement rapprochés afin d’établir, à nouveau, un cadre législatif qui permettrait de satisfaire aux exigences de l’Union et de permettre une décision d’adéquation pérenne.

Le président Biden a ainsi signé, en octobre 2022, un executive order censé davantage limiter les prérogatives des agences de renseignement étatsuniennes et surtout permettre un meilleur encadrement de leurs pratiques.

Nous en détaillions la teneur dans un précédent article – rappelons simplement ici que ce texte prévoit la création d’un recours à deux niveaux pour les citoyens européens. Ils pourront déposer une plainte auprès du Civil Liberties Protection Officer, et faire appel des décisions de ce dernier devant la Data Protection Review Court.

Après un avis – pourtant mitigé – du Comité Européen de la Protection des Données (CEPD) que nous relations ici, la Commission a donc considéré que les modifications apportées au régime législatif américain garantissaient un niveau de protection suffisant. Elle a donc publié le 10 juillet la nouvelle décision d’adéquation concernant les États-Unis.

Quelles conséquences pour les organisations transférant des données vers les États-Unis ?

Les conséquences pratiques, pour les organisations pratiquant de tels transferts vers les USA, sont nombreuses.

D’abord, il leur faudra s’assurer que les transferts qu’ils réalisent entre dans le champ de la décision ; en effet, ne sont pas concernés tous les transferts, mais seulement ceux vers les organismes américains s’étant engagés à respecter les principes énoncés. Ils sont listés sur un site gouvernemental à cet effet.

Par la suite, pour les traitements et destinataires entrant dans le champ de la décision, il conviendra dans la plupart des cas de remanier la documentation contractuelle. En effet, en l’absence de décision d’adéquation, annexer au contrat avec le partenaire outre-atlantique les clauses contractuelles types de la Commission Européenne restait de loin la garantie la plus courante.

D’autre part, ce changement de garantie de la conformité des transferts va résulter en une mise à jour de la documentation de l’organisation : au niveau de son registre des traitements et autres outils de gouvernance, mais également et surtout dans toutes les mentions d’informations relatives aux traitements concernés – les moyens garantissant les transferts faisant partie des informations devant obligatoirement être communiquées au titre des articles 13 et 14 du RGPD.

Vers une décision Schrems III ?

La question de la pérennité de cette décision se pose forcément, compte tenu des annulations successives des précédentes.

Max Schrems, président de l’ONG NOYB et déjà à l’origine des recours ayant amené la chute du Safe Harbour et du Privacy Shield, a déjà annoncé son intention de contester devant la CJUE la décision d’adéquation, « d’ici à la fin de l’année 2023 ou le début de l’année 2024 ». La série Schrems serait-elle alors en passe de devenir une trilogie ?

Les chances d’aboutir d’un tel recours ne sont pas nulles : le CEPD, dans son avis sur le nouveau cadre législatif américain, se montrait critique vis-à-vis des règles proposées. Il reprochait notamment qu’il ne soit pas instauré de mécanisme d’autorisation préalable à la surveillance à grande échelle, et le manque de transparence des autorités de recours nouvellement crées. Celles-ci pourront simplement notifier au plaignant, sécurité nationale oblige, qu’elles n’ont pas identifié de violation de ses droits, sans plus de précision.

Il est sur ce point intéressant de noter que la CJUE est actuellement saisie d’une affaire similaire concernant les pratiques de l’organisme de contrôle de la police belge, qui se contente pareillement d’informer les personnes concernées d’une absence de violation.

Dans ses conclusions sur ce dossier, l’avocat général conjugue les dispositions du RGPD avec celles de la directive du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités. Il conclut que les cas où la personne concernée ne reçoit qu’une information minimale sur les résultats de l’enquête faisant suite à sa demande doivent rester une rare exception. Le principe reste la communication des motifs de la décision de l’autorité de contrôle, qui ont une influence importante sur un éventuel recours.

Si la CJUE venait à suivre cet avis dans sa décision finale, cela pourrait permettre d’anticiper une certaine sévérité quant au cadre américain qui lui sera soumis ultérieurement. Jamais deux sans trois ?

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.